Cyberbedrohungen
Missbrauch von Red Teaming-Tools
Red Teaming-Tools, die Unternehmen bei der Simulation von Cyberangriffen und bei Sicherheitsbewertungen einsetzen, sollen die Abwehrkräfte eines Unternehmens stärken. Doch können sie leider auch für cyberkriminelle Aktivitäten missbraucht werden.
Wichtige Erkenntnisse
- Cyberkriminelle können Open Source-Software für böswillige Zwecke missbrauchen.
- Obwohl Red Teaming-Tools viele Vorteile bieten, birgt ihr Dual-Use-Charakter auch erhebliche Risiken, die strenge ethische Richtlinien und wirksame Aufdeckungsmöglichkeiten erfordern.
- KI kann potenzielle Bedrohungen aus Open-Source-Repositories identifizieren und einordnen, wodurch sich die Analysezeit drastisch verkürzt und kritische Projekte priorisiert werden können.
- Die Entwicklung von Red Teaming-Methoden mit proaktiver Erkennung und ständiger Überwachung neuer Tools wird die Abwehr von Cyberbedrohungen in Unternehmen verbessern.
Red Teaming-Tools, die Unternehmen bei der Simulation von Cyberangriffen und bei Sicherheitsbewertungen einsetzen, sind zu einem wichtigen Bestandteil der Cybersicherheit geworden, wenn es darum geht, die Abwehrkräfte eines Unternehmens zu stärken.
Diese Tools wurden zwar für legitime Sicherheitstests und -verbesserungen entwickelt, ziehen aber auch böswillige Akteure an, die ihr Instrumentarium erweitern wollen. Sie verfügen in der Regel über fortschrittliche Funktionen, um die Erkennung von Schwachstellen zu automatisieren, ausgefeilte Penetrationstests durchzuführen und Social-Engineering-Angriffe zu simulieren. Gelangen sie in die Hände von Cyberkriminellen führen sie zu höheren Erfolgsquoten bei Angriffen und einer Verringerung des Zeit- und Ressourcenaufwands für ihre Ziele. Durch den Missbrauch von Tools, die die Ausnutzung bekannter Schwachstellen automatisieren, können Angreifer beispielsweise Systeme ins Visier nehmen und kompromittieren, bevor Patches angewendet werden.
Auch können staatlich unterstützte Akteure, die häufig bereits über fortschrittliche Tools und Techniken verfügen, ihre Angriffe mit Red Team-Tools Spionage und Sabotage betreffend noch weiter verbessern. So setzt beispielsweise der Bedrohungsakteur APT41 ein als Google Command and Control (GC2) bekanntes Red Teaming-Tool ein, mit dem er Dienste wie Google Sheets und Google Drive für die Kommunikation zwischen infizierten Geräten und dem Server des Angreifers missbrauchen kann. Darüber hinaus passen diese Gruppen die Tools auch weiter an, um ihre Angriffe noch effizienter zu gestalten.
Missbrauch von Repositories wie GitHub
GitHub ist ein unverzichtbares Werkzeug für die kollaborative Softwareentwicklung und eine wichtige Ressource für Cybersicherheitsexperten. Für Red Teamer bietet GitHub Zugang zu mehreren ständig aktualisierten Repositories mit kollektivem Wissen und Ressourcen, darunter eine breite Palette von Tools, die für die Durchführung von Sicherheitsbewertungen verwendet werden.
Böswillige Akteure integrieren Red Team-Tools (häufig auf GitHub zu finden, aber nicht darauf beschränkt) in der Regel mit einer Vielzahl von Methoden, von denen die einfachste darin besteht, das gesamte Projekt im Originalzustand zu verwenden. Das heißt, die Angreifer nutzen Open Source-Tools, ohne Änderungen am eigentlichen Code vorzunehmen. Ist das Repository jedoch bekannt, was zu hohen Entdeckungsraten führt, können sie Änderungen an der Übermittlungsmethode vornehmen, z. B. einen benutzerdefinierten Loader integrieren, bei dem die primäre Payload verschlüsselt und in den Speicher geladen wird.
Darüber hinaus können Repositories als Ausgangspunkt oder Vorlage verwendet werden, wobei der Akteur bei Bedarf eigenen Code hinzufügt. Dazu gehört häufig das Anwenen von Verschleierungstechniken wie String-Verschleierung oder Hashing von Windows-API-Aufrufen, um die Erkennung zu umgehen. Das Entfernen unnötiger Funktionen verschlankt zusätzlich das Tool.
GitHub-Repositories dienen auch als wertvolle Ressource für den Wissensaustausch und die Zusammenarbeit. Bestimmte Projekte können fortschrittliche Red Teamer-Techniken beherbergen, wie z. B. „Prozess-Doppelgänging“, bei dem Code durch Missbrauch des NTFS-Transaktionsmechanismus in Windows injiziert wird.
Repository-Trends
Angesichts der schnellen Freigabe und Aktualisierung von Repositories auf GitHub müssen Sicherheitsforscher die Website überwachen, um über die neuesten Entwicklungen bei Malware und Red Teaming-Tools informiert zu bleiben.
Indem sie ermitteln, welche Repositories im Trend liegen, können Sicherheitsforscher und SOC-Teams genau feststellen, welche Tools und Techniken möglicherweise von böswilligen Akteuren verwendet werden. Diese Repositories können anhand von Merkmalen wie der Anzahl der Stars und Forks identifiziert werden, die auf ein erhöhtes Interesse der Community sowie auf eine verstärkte Diskussion in Untergrundforen hinweisen.
Bei unseren Recherchen zu Trending Repositories stellten wir fest, dass einfache themenbasierte Suchanfragen unzureichend waren, da eine große Anzahl von GitHub-Repositories keine Themen, Tags oder sogar Beschreibungen haben, was dazu führte, dass wir sie übersahen, wenn wir uns ausschließlich auf Themenmodifikatoren verließen.
Stattdessen analysierten wir Repositories innerhalb jeder spezifischen Kategorie und ermittelten gemeinsame Muster, die sie miteinander verbanden. Mit dieser verbesserten Methodik konnten wir unsere Abfragen verfeinern und in unser Automatisierungssystem einbinden.